最近懒得飞起 不想写太细,有师傅想看完整的可以留个言或者私信 我再补补…
user部分
nmap只扫到一个端口
http/80
目录没扫出什么
vhost扫出dev来
在抓包访问页面邮箱丢出去的包有包含asp.net的viewstate,这里一开始我还没在意,后来发现有个download那里的cv.pdf有个lfi,然后写了个脚本跑字典fuzz了半天,down出来个web.config。
拿着里面的特征去谷歌了一波
https://book.hacktricks.xyz/pentesting-web/deserialization/exploiting-__viewstate-parameter#test-case-4-.net-greater-than-4.5-and-enableviewstatemac-true-false-and-viewstateencryptionmode-true
这里有利用方式
shell弹回来,翻document会找到个powershell的凭据xml
https://book.hacktricks.xyz/windows-hardening/basic-powershell-for-pentesters#secure-string-to-plaintext
拿到密码后,这里看到5985是开的 但是墙应该是没放出来,就穿了下然后winrm访问
whoami /priv看到有debug权限
用https://book.hacktricks.xyz/v/cn/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens
的psgetsys.ps1方式简单弹回来个shell就结束了
root部分细节
这里原本是代理穿了一下winrm,而后再用的psgetsys,是ok的
import-module .\psgetsys.ps1 ;ImpersonateFromParentPid -ppid 552 -command "cmd.exe" -cmdargs "/c powershell.exe -e"
所以这次再尝试一下runasCS的方式
这里不行,考虑可能是SeIncreaseWorkingSetPrivilege权限的问题。
不过还是用排除法试一下
首先是pov\alaading用户用runascs状态下测
然后是admin用户的runascs
可以看到都是报错了
然后试了下两个winrm都是ok的,所以应该是和SeIncreaseWorkingSetPrivilege这个权限有关系
参考
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/increase-a-process-working-set
靶机难度不高,我感觉比较难的就是user,因为payload需要反复调教几次